Azure Stack Hub 集成系统的 Azure 非联网部署计划决策
在您决定 如何将 Azure Stack Hub 集成到混合云环境中, 就可以完成 Azure Stack Hub 部署决策。
无需连接到 Internet 即可部署和使用 Azure Stack Hub。 但是,在受限于断开连接的部署中,您只能使用 Active Directory 联合身份验证服务(AD FS)标识存储和基于容量的计费模型。 由于多租户需要使用 Microsoft Entra ID,因此断开连接的部署不支持多租户。
选择此选项,如果:
- 存在安全或其他限制,要求在未连接到 Internet 的环境中部署 Azure Stack Hub。
- 你想要阻止将数据(包括使用情况数据)发送到 Azure。
- 你希望将 Azure Stack Hub 纯粹用作部署到企业 Intranet 的私有云解决方案,并且对混合方案不感兴趣。
提示
这种类型的环境也称为 潜艇情境。
断开连接的部署不会限制您在以后将 Azure Stack Hub 实例连接到 Azure,以用于混合租户场景。 这意味着在部署过程中无法连接到 Azure,或者不想使用 Microsoft Entra ID 作为身份存储。
在断开连接部署中受限或不可用的功能。
Azure Stack Hub 设计为在连接到 Azure 时效果最佳,因此请务必注意,在断开连接的模式下,有一些特性和功能受损或完全不可用。
| 功能 | 断开连接模式下的影响 |
|---|---|
| VM 部署(带有用于配置 VM 后期部署的 DSC 扩展) | 被削弱 - DSC 扩展从 Internet 查找最新 WMF。 |
| 使用 Docker 扩展部署 VM 以运行 Docker 命令 | 受损 - Docker 检查 Internet 以获取最新版本,并且此检查失败。 |
| Azure Stack Hub 门户中的文档链接 | 不可用 - 使用 Internet URL 的“提供反馈”、“帮助”和“快速入门”等链接不起作用。 |
| 引用联机修正指南的警报修正/缓解 | 不可用 - 使用 Internet URL 的任何警报修正链接都不起作用。 |
| 市场 - 直接从 Azure 市场中选择并添加库包的能力 | 受损 - 在断开连接模式下部署 Azure Stack Hub 时,无法使用 Azure Stack Hub 门户下载市场项。 但是,可以使用 市场联合工具 将市场项下载到具有 Internet 连接的计算机,然后将其传输到 Azure Stack Hub 环境。 |
| 使用 Microsoft Entra 联合帐户管理 Azure Stack Hub 部署 | 不可用 - 此功能需要连接到 Azure。 必须改用具有本地 Active Directory 实例的 AD FS。 |
| 应用服务 | 被损坏 - WebApps 可能需要访问 Internet 以获取更新的内容。 |
| 命令行接口 (CLI) | 受损 - CLI 减少了身份验证和预配服务主体的功能。 |
| Visual Studio - 云发现 | 受损 - Cloud Discovery功能要么发现不同的云,要么根本不起作用。 |
| Visual Studio - AD FS | 受损 - 仅 Visual Studio Enterprise 和 Visual Studio Code 支持 AD FS 身份验证。 |
| 遥测 | 不可用 - Azure Stack Hub 的遥测数据以及依赖于遥测数据的任何第三方库包。 |
| 证书颁发机构 (CA) | 公共/外部证书颁发机构(CA) 不可用 – 如果证书是从公共 CA 颁发的,则部署将失败,因为需要 Internet 连接才能访问 HTTPS 上下文中的证书吊销列表(CRL)和联机证书状态协议(OCSP)服务。 专用/内部证书颁发机构(CA) 无影响 - 如果部署使用专用 CA 颁发的证书(例如组织中的内部 CA),则只需要对 CRL 终结点进行内部网络访问。 不需要 Internet 连接,但应该验证 Azure Stack Hub 基础结构是否具有所需的网络访问权限,以联系证书 CDP 扩展中定义的 CRL 终结点。 |
| 密钥保管库 | 受损 - Key Vault 的常见用例是在运行时让应用读取机密。 对于此用例,应用需要目录中的服务主体。 在 Microsoft Entra ID 中,默认允许常规用户(非管理员)添加服务主体。 在 Microsoft Entra ID(使用 AD FS)中,则不允许。 此问题给端到端体验带来了障碍,因为添加任何应用程序时都必须经过目录管理员。 |
| 器皿 | 功能受限 - 处于断开连接模式下无法从 Azure 公共容器注册表或其他可访问的注册表中导入容器映像。 有关如何在 Azure 容器注册表中将容器映像导入到运行 Kubernetes 的断开连接的 Azure Stack Hub 部署的信息,请参阅 Azure Stack Hub 上的 Azure 容器注册表 的常见问题解答条目。 |
后续步骤
- 有关用例、购买、合作伙伴和 OEM 硬件供应商的信息,请参阅 Azure Stack Hub 产品页。
- 有关 Azure Stack Hub 集成系统的路线图和异地可用性的信息,请参阅 Azure Stack Hub:Azure的扩展。
- 有关 Microsoft Azure Stack Hub 包装和定价的信息, 下载 .pdf 定价指南.
- 数据中心网络集成